您可以設定憑證撤銷檢查,以避免對使用者憑證已撤銷的使用者進行驗證。通常當使用者離開組織、遺失智慧卡,或調動部門時,就會撤銷憑證。

支援使用憑證撤銷清單 (CRL) 及線上憑證狀態通訊協定 (OCSP) 來進行憑證撤銷檢查。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是一種用於取得憑證撤銷狀態的憑證驗證通訊協定。

您可以在同一個憑證驗證介面卡組態中同時設定 CRL 和 OCSP。當您同時設定兩種類型的憑證撤銷檢查,且啟用了 [當 OCSP 失敗時使用 CRL] 核取方塊時,將會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查會退而使用 CRL。如果 CRL 失敗,撤銷檢查不會退而使用 OCSP。

透過 CRL 檢查登入

當您啟用憑證撤銷時,VMware Identity Manager 伺服器會讀取 CRL 來判斷使用者憑證的撤銷狀態。

如果憑證已撤銷,則透過憑證進行驗證將會失敗。

登入時進行 OCSP 憑證檢查

當您設定憑證狀態通訊協定 (OCSP) 撤銷檢查時,VMware Identity Manager 會傳送一個請求給 OCSP 回應器,申請其判斷特定使用者憑證的撤銷狀態。VMware Identity Manager 伺服器會使用 OCSP 簽署憑證來確認從 OCSP 回應器收到的回應屬實。

如果憑證已撤銷,驗證將會失敗。

您可以將驗證設定為在未收到 OSCP 回應器的回應或回應無效時退而使用 CRL。